经由处理器70将控制总线10中的信息传送至信息总线20和外部总线30,同时不直接从信息总线20和外部总线30访问控制总线10。
[0108]这例如在允许控制总线10和信息总线20彼此通信以及允许控制总线10和外部总线30彼此通信的同时有利地确保了控制总线10相对于外部总线30的安全性。
[0109]处理器70介入从控制总线10对信息的获取。因而,即使不符合控制总线10的协议的请求信号仍允许外部总线30获取控制总线10中的信息。
[0110]车辆I通常设置有所要求的安全级别彼此不同的至少三个网络,具体地为控制总线10、信息总线20和外部总线30。具体地,车辆I设置有要求处于高安全级别的控制总线
10、不要求安全级别与控制总线10的安全级别一样高的信息总线20以及发现难以确保其安全性的外部总线30。在该实施例中,为这些单元准备不同的防火墙,使得可以适当地确定在每个总线中应该确保的安全级别。
[0111](2)从外部总线30或信息总线20接收到的请求信号未直接流入控制总线10,而是由处理器70以预定方式进行处理。这有利地保持了至少控制总线10的安全性。在车辆I中,处理器70基于接收到的请求信号获取车辆信息(诸如,控制总线10中的车速信息或传感器信息),并且生成对请求信号作出响应且包含车辆信息的响应信号。因而,即使来自不同网络的请求信号未流入控制网络,仍将在请求信号中请求的信息在响应信号中传送至不同网络中的请求信号的传送源。
[0112]处理器70处理例如从外部总线30接收到的请求信号。这不要求请求信号符合控制总线10的协议,例如在外部总线30中。因而,外部总线30和信息总线20可以容易地获取控制总线1中的车辆信息。
[0113](3)从控制总线10获取车辆信息。例如,每当例如从外部总线30接收到请求信号时,从控制总线10获取车辆信息。因此,从而可以增加车辆信息与所接收到的请求信号的实时对应关系。
[0114](4)从数据服务器单元75的存储装置获取车辆信息。基于从控制网络获取的控制信息来生成对从外部网络或信息网络接收到的请求信号作出响应的响应信号,并将其存储在存储装置中。这缩短了在传送响应于接收到的请求信号而生成的响应信号之前经过的时间,从而提高响应信号对请求信号的响应性。
[0115](5)例如来自外部总线30的请求信号立刻进入代理单元71。这可以保持与控制总线10中的传送目的地有关的信息不被外部总线30发现。结果,可以确保控制总线10的安全性处于更高级别。
[0116]数据服务器单元75负责对请求信号的处理。因而,即使例如来自外部总线30的请求信号不被传送至控制总线10,也可以生成对请求信号作出响应的响应信号。这也将控制总线10保持在尚安全级别。
[0117](6)处理器70执行仅响应于从经认证的外部装置传送的请求信号而获取车辆信息的处理。因而,防止了例如未经认证的外部装置不正确地获取控制总线10中的车辆信息。这也可以将控制总线10保持在高安全级别。
[0118](7)基于作为监控的结果而被确定为引发异常的请求信号来禁止车辆信息的获取。这也有助于提高控制总线10的安全性。
[0119](8)按时间顺序或统计地存储请求信号作为日志数据。因而,可以确定例如由来自外部总线30的攻击而引起的异常请求信号是否存在。这可以有利地管理安装在车辆I上的通信系统,同时有助于控制总线10的安全性的进一步提高。
[0120](9)处理器70可以适当地处理例如来自外部总线30的请求信号请求多条连续的车辆信息的情况。具体地,处理器70可以生成对请求信号作出响应的响应信号,同时随着场合出现而将多条车辆信息按顺序合并到按时间顺序存储在用作存储装置的数据服务器单元75中的响应信号。处理器70还可生成包含各条车辆信息的响应信号,各条车辆信息例如由以短间隔出现的各条信息或者按从控制总线10获取它们的顺序存储的分割的各条信息构成。这可以对获取多条车辆信息的请求作出响应,同时控制总线10保持在高安全级别。
[0121](10)车辆的控制总线10的通信协议是CAN并且这不同于用作外部总线30的通信协议的因特网协议。因此,协议转换器511至514未布置在第一防火墙单元62侧而是在控制总线10中。虽然控制总线10的通信协议不同于外部总线30的通信协议,但是从外部总线30输入且由处理器70处理的请求信号被转换为控制总线10的通信协议。这允许外部总线30和控制总线10适当地在彼此之间传送信息。
[0122](11)通过合并从控制总线10获取的控制信息而生成的响应信号被传递至信息总线20中的经认证的传送源。这能够减小处理器70上的处理负荷,同时允许作为信息总线20中的装置的信息提供服务器MS容易地且迅速地获取控制总线10中的车辆信息。
[0123]其他实施例
[0124]可如下所述对上述实施例进行修改。
[0125]在上述实施例中,多个E⑶连接至控制总线10和信息总线20。这不是唯一的示例。将一个或多个ECU连接至每条总线就足够了。这有助于扩大包括信息处理装置的通信系统的适用范围。
[0126]在上述实施例中,E⑶连接至控制总线10和信息总线20。然而,这不是唯一的示例。不同于ECU的信息处理单元可连接至每条总线,只要该信息处理单元可以通过通信总线与每条总线进行通信即可。这有助于扩大包括信息处理装置的通信系统的适用范围。
[0127]在上述实施例中,控制总线10包括CAN总线、局域互联网络总线和以太网(注册商标)总线。然而,这不是唯一示例。控制总线可包括诸如不同于CAN总线、局域互联网络总线和以太网(注册商标)总线的FlexRay (注册商标)的通信标准的通信标准。提供CAN总线、局域互联网络总线和以太网(注册商标)总线和与控制总线中的前述总线不同的总线中的至少一个就足够了。这有助于扩大包括信息处理装置的通信系统的适用范围。
[0128]在前述实施例中,多条通信总线(包括总线11至16和17)设置在控制总线10中。然而,这不是唯一的示例。在控制总线中设置至少一条通信总线就足够了。这有助于扩大包括信息处理装置的通信系统的适用范围。
[0129]在上述实施例中,控制网关50包括传动系网关51、底盘网关52、安全性网关53和车身网关54。然而,这不是唯一的示例。控制网关可包括传动系网关、底盘网关、安全性网关和车身网关中的至少一个。这有助于扩大包括信息处理装置的通信系统的适用范围。
[0130]在上述实施例中,控制网关50包括分开设置的传动系网关51、底盘网关52、安全性网关53和车身网关54。然而,这不是唯一的示例。控制网关可包括传动系网关、底盘网关、安全性网关和车身网关中的两个或更多个的一体化结构。这有助于提高包括信息处理装置的通信系统的设计灵活性。
[0131]在上述实施例中,非军事区60和控制网关50被示为一体地设置在中央网关40中。在这种情况下,如果非军事区60和控制网关50的功能被分配给中央网关40中的处理器并且所有总线借助于例如软件而逻辑上隔离,则任何功能的改变使诸如涉及整个中央网关40的软件的设计改变或更新成为必要。因此,非军事区和控制网关可分开布置。
[0132]例如,非军事区60和控制网关50A可如图10所示那样分开地设置。控制网关50A具有集成包括传动系网关、底盘网关、安全性网关和车身网关的四个网关的结构。具体地,用以实现非军事区60的功能的处理器和用以实现控制网关50A的功能的处理器可在物理上隔离。这仅仅使诸如涉及经受功能上的改变的处理器的软件的设计改变或更新的任务成为必要,从而有助于提高包括信息处理装置的通信系统的设计灵活性。
[0133]如图11中进一步示出,控制总线10可包括由设置在相应通信总线上的不同处理器构成的网关(交换机)51A至54A。在这种情况下,在一条通信总线中发生的规范的改变可以例如仅通过改变对应的网关(交换机)的设计来处理。这有助于包括信息处理装置的通信系统的设计灵活性的提高或适用范围的扩大。
[0134]在上述实施例中,控制网关50包括消息缓冲器501。然而,这并不是唯一的示例。控制网关不一定需要包括任意消息缓冲器。在通信总线上的网关可包括相应的消息缓冲器。每当车辆信息的传递在通信总线之间变得必要时,可从目标ECU传送车辆信息。这有助于包括信息处理装置的通信系统的设计灵活性的提高或适用范围的扩大。
[0135]在上述实施例中,控制总线10中的车辆信息被示为从控制总线10中的ECU或从控制网关50中的消息缓冲器501获取。期望从ECU获取的车辆信息是最新信息,并且期望从消息缓冲器501获取的车辆信息实现迅速的响应。然而,这不是唯一的示例。控制总线中的车辆信息可仅从控制总线中的ECU获取或者从控制网关中的消息缓冲器获取。在任一情况下,在由与车辆信息的获取相关的处理器执行的处理中不产生显著差异。因而,处理器可以有利地对这两种情况作出响应。
[0136]在上述实施例中,控制总线10中的车辆信息由信息总线20获取。然而,这不是唯一的示例。信息总线可为控制总线中的ECU设置参数。车上信息总线一般保持在比外部总线的安全级别高的安全级别。具体地,信息总线的安全性保持在特定级别。这允许信息总线将用于数据设置的设置数据传送至控制总线中的控制装置。即使允许信息总线为控制总线中的ECU设置参数,控制总线的安全性一般仍保持在适当级别。结果,可以容易地管理连接至控制总线的控制装置,同时保持控制总线相对于外部总线的安全性。
[0137]在上述实施例中,连续的各条车辆信息是摄像装置图像,具体为运动图像。然而,这不是唯一的示例。连续的各条车辆信息可以是多段大规模数据。这有助于信息处理装置的适用范围的扩大。
[0138]在上述实施例中,日志单元74被示为允许分析日志数据并将日志数据传送至外部日志分析器。具体地,日志单元可仅分析日志数据或者将日志数据传送至外部日志分析器。日志单元可执行日志数据的分析以及将日志数据传送至日志分析器这两者。在任何情况下,基于日志数据以事后方式分析请求信号是否存在异常。这有助于提高信息处理装置的设计灵活性。
[0139]在上述实施例中,日志单元74或日志分析器以事后方式分析日志数据。然而,这不是唯一的示例。日志单元或日志分析器可实时地分析日志数据。这有助于提高信息处理装置对异常通信消息的响应性。
[0140]在上述实施例中,处理器70包括认证单元72、监控单元73和日志单元74。然而,这不是唯一的示例。可从处理器省略认证单元、监控单元和日志单元中的全部或一些。这有助于提高信息处理装置的设计灵活性。
[0141]在上述实施例中,认证单元72在与例如外部装置开始进行通信时对外部装置进行认证。然而,这不是唯一的示例。当从外部装置接收到的请求车辆信息的信号时,认证单元可基于所接收到的请求信号开始认证处理。作为示例,认证单元可在接收到请求车辆信息的信号时开始认证处理,并且可向外部装置要求认证所需的信息。如果请求车辆信息的信号是用于认证的给定数据,则认证单元可对请求车辆信息的信号执行认证处理。这有助于信息处理装置的适用范围的扩大。
[0142]在上述实施例中,代理单元71基于认证单元72的认证结果或者监控单元73的监控结果来更新代理单元71中的与不正确的传送源有关的信息。然而,这不是唯一的示例。代理单元中的与不正确的传送源有关的信息可由认证单元72基于认证单元72本身的认证结果或者监控单元基于监控单元本身的监控结果来更新。这有助于提高信息处理装置的设计灵活性。
[0143]在上述实施例中,处理器70包括分开地设置的代理单元71和数据服务器单